0
我在NodeJS中制作了一个API,它将同时用于网站和iPhone本地应用程序。NodeJS API - 安全问题
当用于网站的JavaScript时,API URL有可能会暴露给用户。我只想要授权访问API。不希望任何人通过控制台调用API。如user/delete/[user-id]
,任何人都可以使用此URL来删除用户。
我在NodeJS中制作了一个API,它将同时用于网站和iPhone本地应用程序。NodeJS API - 安全问题
当用于网站的JavaScript时,API URL有可能会暴露给用户。我只想要授权访问API。不希望任何人通过控制台调用API。如user/delete/[user-id]
,任何人都可以使用此URL来删除用户。
有很多认证策略可以使用。不要在这里重新发明轮子。 ;)
你在这里有什么问题?显然,您不应该依赖没有人找到URL,而是实施适当的身份验证和授权。 – 2012-07-12 11:18:44
如何对API进行适当的身份验证和授权? – Riz 2012-07-12 13:11:17
对于身份验证,您可以使用基于cookie的会话或HTTP基本身份验证或API密钥或第三方提供商(OpenID,Facebook,Twitter)的登录表单。对于授权,您可以检查经过身份验证的用户是否有权执行所请求的操作。看看[我的答案](http://stackoverflow.com/a/9609587/295262)可能的出发点。 – 2012-07-12 13:31:38